Microsoft zoekt oplossing voor lek in laatste IE-patch

Dat stellen beveiligingsdeskundigen van Eeye Digital Security. Microsoft introduceerde tijdens zijn laatste maandelijkse patchdag een reeks patches om diverse gaten in zijn besturingssysteem en Office-programma's te dichten.

Eén van die updates (MS06-042) was bedoeld om een kritiek lek in Internet Explorer te dichten. Al snel bleek echter dat gebruikers problemen hadden met deze patch doordat diverse webapplicaties vastliepen.

Oorzaak van de problemen lijkt deels te worden veroorzaakt door de http 1.1-compressie die de browser gebruikt. Volgens beveiligingsbedrijf Eeye kan deze fout ook door aanvallers worden misbruikt om de controle over een systeem over te nemen.

"Wat mensen niet weten, is dat toen Microsoft deze patch vrijgaf zij eigenlijk een nieuw lek introduceerden", stelt Marc Maiffret, chief hacking officer bij Eeye.

Eeye ontdekte het probleem vorige week toen zij de klachten over de gecrashte browsers onderzochten. De experts denken dat het nieuwe lek ook bekend is bij andere onderzoekers en hackers.

"De slechteriken weten hiervan en weten dat het uit te buiten is", aldus Maiffret. De onderzoeker zegt dat Eeye een proof-of-concept heeft ontwikkeld, maar weet niet of dergelijke code voor dit lek al in omloop is.

Uitgesteld

Hoewel de kans op een grootschalige aanval op het lek niet groot lijkt, adviseert Eeye bedrijven de nieuwe Microsoft-patch zo snel mogelijk te installeren.

Vooralsnog valt er weinig te installeren. Nadat Microsoft eerder al een hotfix ter beschikking stelde, zegde het bedrijf toe deze week een nieuwe versie van de patch te introduceren.

Op dit besluit is het bedrijf echter teruggekomen, zo heeft het dinsdagavond bekendgemaakt. Wanneer de patch wel opnieuw wordt uitgebracht, is niet bekend. Aanleiding voor het uitstel is volgens de softwarefabrikant 'een probleem dat is ontdekt tijdens de laatste testen'.